C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe - Sospetto
C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe - Sconosciuto
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=it&l=it&s=gen - Sospetto
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=it&l=it&s=gen - Sospetto
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=it&l=it&s=gen - Sospetto
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti - Abbastanza sospetto
O4 - HKLM\..\Run: [msci] C:\DOCUME~1\NEVERL~1\IMPOST~1\Temp\200645142713_mcinfo.exe /insfin - Sconosciuto
O15 - Trusted Zone: *.rossoalice.it - Abbastanza sospetto
O15 - Trusted Zone: *.rossoalice.virgilio.it - Abbastanza sospetto
O18 - Protocol: msnim - 0 - (no file) - Abbastanza sospetto
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe - Sconosciuto


questo è l'analisi breve di hijackthis....

ho tolto solo 018 e 04 (mcafee residui immagino)

ho kaspersky 6.0! aggiornato e tutto a palla con le difese, ho spybot aggiornato!!

Nessuna traccia di questo worm/backdoor...

il problema è che ho cliccato su un .exe (pensavo fosse un keygen...) e mi ha dato applicazione nn valida su win ecc..., da quel momento mi sono informato e ho trovato sul Mulo un txt dove si diceva che quel keygen è un win32.darkmoon!!

Non riesco a trovarlo nel pc, l'unica prova che qualcosa non và è l'exe del keygen che non si cancella, mi dice che viene utilizzato da un altro processo..

avete info e aiuti /consigli??

Hai provato ad eliminarlo dalla modalità provvisoria?

Hai provato ad eliminarlo dalla modalità provvisoria?


ci provo..

cmq per sicurezza ho fatto girare anche A-squared...

nisba non trova nessun malware backdoor ecc

http://img357.imageshack.us/img357/5016/echecazzozh5.th.jpg (http://img357.imageshack.us/my.php?image=echecazzozh5.jpg)

mi rimane sto keygen schifoso (colpa mia che m'era scaduto googleearth...)...

bha

Vai di killbox, oppure con unlocker vedi tu, dovresti risolvere

Vai di killbox, oppure con unlocker vedi tu, dovresti risolvere


http://img128.imageshack.us/img128/3661/echecazzo2qh1.th.jpg (http://img128.imageshack.us/my.php?image=echecazzo2qh1.jpg)


provo a cercarlo su google killbox...

ma scusate se questo schifoso .exe non è unmalware virus ecc ecc come cavolo s'è legato a qualche altro processo?? ...

a meno che l'abbiano fatto proprio in modo da non farsi cancellare...

Pocket Killbox version 2.0.0.881
Running on Windows XP as NeverLand(Administrator)
was started @ mercoledì, luglio 19, 2006, 6.38 PM

# 1 [Files to Delete]
Path = C:\Documents and Settings\NeverLand\Desktop\keygen Google Earth version Pro.exe
*This File could not be Deleted

# 2 [Files to Delete]
Path = C:\Documents and Settings\NeverLand\Desktop\keygen Google Earth version Pro.exe
*File Was Deleted


al 2 tentativo me l'ha tolto ma ho spuntao l'opzione end shell explorer ecc ecc

Immagino che quel file era legato quindi all'explorer.exe.... a questo punto mi sorge il quesito: allora come mai non viene rilevato come malware/backdoor??

perchè se leggo nele info di questo schifoso malware trovo:

Virus files:
expl0rer.exe, sp00lsv.exe, win32log.dat

Koń trojański umożliwiający zdalny, nieautoryzowany dostęp do zasobów zainfekowanej maszyny oraz przejęcia nad nią kontroli. Autor ma m.in. możliwość:
- otwierania i zamykania tacki napędu CD-ROM
- modyfikowanie ustawień systemu
- wykradanie informacji.

Uruchomiony, w folderze systemowym tworzy pliki expl0rer.exe oraz sp00lsv.exe a także plik logów win32log.dat.

By uruchamiać się z każdym startem systemu operacyjnego, w rejestrze tworzy wpis:

"explorer" = "expl0rer.exe"
w lokalizacji:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run


è l'unico sito che parla di cosa combina...
dovrebbe fare una chiave di questo tipo..

ora provo a cercarla..

Niente, è pulito!!!

Nessuno di quei 3 fake files..., nè quella chiave in regedit, nè in msconfig...

kaspersky probabilmente me l'ha bloccato subito (appena l'ho aperta con un doppio click mi ha dato "applz non valida suwin...") ma mi è rimasto il file bloccato... , è come se si fosse legato alla shell di explorer ma non avesse infettato nulla..

La colpa in questo caso è totalmente mia, l'exe era un classico di quelli senza icona , con la finestrella normale, proprio un classico fake..

ci son cascato come un fesso.

Grazie Gohan e Lupo!!!

:doh:

No problems, l'importante è che tu abbia risolto